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(57) Abstract: Disclosed is a method for preventing erroneous actuator access in a multifunctional general electronic control system 
in which the actuator access requirements emanate from different system services (1). According to said method, a rights management 
(2) which detects the authorization of actuator access requirements, a mode of operation control unit (4), and an access management 
(6) are integrated into the general control system. The rights management (2) causes the mode of operation to be set or modified 
according to predefined rules when a system service (1) requests access by taking into account the actual mode of operation of the 
general system and reports the current mode of operation to the access management (6). The access management (5) authorizes 
actuation of the actuator by the authorized system service (1) in accordance with the reported general mode of operation while the 
actuator access requirements of the system services (1) are processed according to predefined arbitration rules. 
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(57) Zusammenfassung: Bei einem Verfahren zum Vermeiden von fehlerhaften Aktuatoreugriffen in einem multifunktionalen elek- 
tronischen Gesamtregelungssystem, bei dem die Aktuatorzugriffsanforderungen von verschiedenartigen Systemdiensten (1) ausge- 
hen, wird in die die das Gesamtregelungssystem eine Rechteverwaltung (2), Berechtigung von Aktuatorzugriffsanforderungen fest- 
stellt, eine Betnebsartensteuerung (4) und eine Zugriffsverwaltung (6) integriert. Die Rechteverwaltung (2) fiihrt bei einer Zugriffsan- 
forderung durch einen Systemdienst (1) unter Beriicksichtigung der momentanen Betriebsart des Gesamtsystems eine Einstellung 
oder einen Wechsel der Betriebsart nach vorgegebenen Regeln herbei und meldet die aktuelle Betriebsart der Zugriffsverwaltung 
(6). Von der ZugriffsverwaJtung (5) werden in Abhangigkeit von der gemeldeten Gesamtbetriebsart eine Aktuatorbetatigung durch 
den "berechugten" Systemdienst (1) zugelassen und die Aktuatorzugrififsanforderungen der Systemdienste (1) nach vorgegebenen 
Arbitrationsregeln verarbeitet. 
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Verfahren sum Vermeiden wn fehlerhaf ten Aktuatorzugriffen 
in einem multifunktxonalen elektronischen Gesamtregelungs- 
system 



Die Erfindung bezieht sich auf ein Verfahren zum Vermeiden 
von fehlerhaften Aktuatorzugrif f en in einera multif unktiona- 
len elektronischen Gesamtregelungssystem, bei dem die Aktua- 
torzugrif fsanforderungen von verschiedenartigen Systemdiens- 
ten ausgehen. Das Verfahren ist insbesondere fur Fahrzeugre- 
gelungssysteme geeignet. 

Es sind bereits komplexe Kraf tf ahrzeugregelungssysteme be- 
kannt, die mehrere Funktionen, wie Antiblockierschutz (ABS) , 
Anfahrschlupfregelung (ASR) , Fahrstabilitatsregelung (ESP) , 
elektrische Uberlagerungslenkung, Bremsassistent, System- 
oder Komponentendiagnose usw. vereinen. Es besteht der 
Wunsch, diese und weitere Funktionen und Hilfs funktionen, 
wie Uberwachung, Fehlersignalisierung, Reif endruckuberwa- 
chung etc., ebenfalls mit Hilfe eines gemeinsamen elektroni- 
schen Systems zu steuern. Die verschiedenen Funktionen und 
Hilfsfunktionen werden dabei zum grofien Teil mit Hilfe der- 
selben Aktuatoren, wie Druckregelventilen, Hydraulikpumpen, 
Warnlampen etc., ausgefuhrt oder vorbereitet . Die Zugriffe 
zu den einzelnen Aktuatoren konnen dabei durchaus gleich- 
zeitig erfolgen. Dies fiihrt verstandlicher Weise zu Konflik- 
ten. Ein Zugriff zu einem Aktuator durch ein Regelungssystem 
oder einen Regelungsbef ehl untergeordneter Bedeutung anstel- 
le eines z.B. aus Sicherheitsgrunden momentan wichtigeren 
Befehls muss verhindert werden. 

Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde 
sicherzustellen, dass in einem komplexen System der vorge- 
nannten Art bei konkurrierenden Aktuatorzugrif f sanforderun- 
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gen kein "fehlerhaf ter" , nicht berechtigter Zugriff zu ei- 
nem Aktuator erfolgt. "fehlerhaft" 1st dabei ein Zugriff 
durch eine Anforderung, die momentan unerwunscht ist, weil 
eine Arbitrierungsart gefordert wird, die in der aktuellen 
Betriebsphase nicht zulassig ist <z.B. eine Diagnosemafinahme 
wahrend der Fahrt) oder aus zahlreichen anderen Griinden . 

Es hat sich herausgestellt, dass diese Aufgabe durch das im 
Anspruch 1 beschriebene Verfahren geldst werden kann, dessen 
Besonderheit darin besteht, dass in das System eine Rechte- 
verwaltung, die bei einer Aktuatorzugrif f sanforderung die 
Berechtigung des Systemdienstes zur Anderung der momentanen 
Betriebsart des Gesamtregelungssystems feststellt, eine Be- 
triebsartensteuerung und eine Zugriff sverwaltung eingefugt 
werden, dass die Rechteverwaltung bei einer Zugriff sanforde- 
rung durch einen Systemdienst unter Beriicksichtigung der mo- 
mentanen Gesamtbetriebsart des Gesamtregelungssystems eine 
Einstellung oder einen Wechsel der Betriebsart nach vorgege- 
benen Regeln herbeifuhrt und die aktuelle Betriebsart der 
Zugriff sverwaltung meldet, und dass die Zugriff sverwaltung in 
Abhangigkeit von der gemeldeten Gesamtbetriebsart eine Aktu- 
atorbetatigung nur durch den "berechtigten" Systemdienst zu- 
lasst und die Aktuatorzugrif f sanf orderungen der Systemdiens- 
te nach vorgegebenen Arbitrationsregeln verarbeitet . 
ErfindungsgemaB wird also in das elektronische Steuersystem 
eines multif unktionalen Gesamtregelungssystems eine zusatz- 
liche Rechte- und Zugriff sverwaltung integriert, die dazu 
fiihrt, dass nur die in der jeweiligen Betriebsart "erwunsch- 
ten", festen vorgegebenen Regeln entsprechende Zugriffsan- 
forderungen der verschiedenen oder verschiedenartigem Sys- 
temdienste zum Aktuator durchgelassen werden. Den z.B. aus 
Sicherheitsgrunden vorzuziehenden Aktionen wird von der 
Zugriff sverwaltung Vorrang oder Prioritat eingeraumt. 
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Durch die erf inching sgemafie Rechte- und Zugrif f sverwaltung 
wird es moglich, Basisf unktionen und Hilfs- oder Fremdfunk- 
tionen in einera System zu integrieren, ohne die Basisf unkti- 
onen zu gefahrden. Durch die Rechte- und Zugrif f sverwaltung 
wird verhindert, dass z.B. durch einen "f ehlerhaf ten", nicht 
berechtigten Zugriff auf einen Aktuator eine Bremsbe- 
tatigungsanforderung, die aus Sicherheitsgrunden Vorrang ha- 
ben muss, nicht mehr durchgeschaltet werden kann. Die Er fin- 
dung macht es also erst moglich, dass zahlreiche wichtigere 
und - je nach Situation bzw. Betriebsart - weniger wichtige 
Funktionen integriert werden konnen. 

Nach einem vorteilhaften Ausf iihrungsbeispiel des erfindungs- 
gemaflen Verfahrens werden die Aktuatorzugrif f anf orderungen 
der Systemdienste in einem Speicher erfasst und nach Ar- 
bitrationsarten getrennt zur Zugrif f sverwaltung weitergelei- 
tet. 

Eine besonders vorteilhafte Ausf uhrungsart der" Erfindung be- 
steht, dass die zu einem Aktuator durchgelassene, von einem 
Systemdienst ausgehende Aktuatorzugrif f sanf orderung durch 
zweistufige Arbitration, namlich durch eine "vertikale" und 
eine "horizontale" Arbitration, bestimmt wird. 

Nach einem weiteren Ausf iihrungsbeispiel der Erfindung werden 
in der Zugrif f sverwaltung in einem ersten Schritt die nicht 
berechtigten Zugrif f sanf orderungen in Abhangigkeit von der 
gemeldeten, aktuellen Gesamtbetriebsart ermittelt, elimi- 
niert oder zuriickgewiesen werden. In einem zweiten Schritt 
wird durch vertikale Arbitration eine Bewertung und Auswahl 
der berechtigten Zugrif f sanf orderungen nach vorgegebener 
Rangfolge der Arbitrationsarten durchgef iihrt, wobei einem 
"Stromsignal" hohere Prioritat als einem "Drucksignal" und 
einem "EIN/AUS-Signal" hohere Prioritat als einem Stromsig- 
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nal zugemessen werden. SchlieBlich erfolgt in einem dritten 
Schritt durch horizontale Arbitration eine Bewertung und 
Auswahl der in dem zweiten Schritt ermitteiten Zugriffsan- 
forderungen nach Prioritat des Signals, mit dem der ausge- 
wahlte Systemdienst den Aktuator ansteuern will. 

Es ist zweckmafiig, die Rechte der Systemdienste zur Anderung 
der Betriebsart in einem Festwertspeicher, auf den die Rech- 
teverwaltung Zugriff hat, z.B. in Form einer Tabelle, fest- 
zuhalten . 

Wird das erfindungsgemaBe Verfahren bei einem Gesamtrege- 
lungssystem fur Kraf tfahrzeuge angewendet, das als Basissys- 
tem eine Bremsanlage (EHB, EMB) enthalt, werden als System- 
dienste, von denen Aktuator zugrif fsanf orderungen ausgehen, 
die Basisbremsfunktionen (BBF) , Radschlupf regelungsf unktio- 
nen (wie ABS, ASR(TCS) , ESP) , Diagnosefunktionen (DIAG) , Mo- 
torpumpenregelungensysteme (MPA) und Schnittstellen (BUS) 
erfasst und durch die Rechteverwaltung in Verbindung mit der 
Zugrif fsverwaltung kontrolliert . 

Es kSnnen noch weitere Systemdienste, wie "Fremdsof tware", 
(CSW) "Lenkungsfunktionen" (Lenk) etc., in das Gesamtsystem 
integriert werden. 

Bei einem Gesamtregelungssystem fur Kraf tfahrzeuge wird vor- 
teilhafter Weise in der Betriebartensteuerung zumindest zwi- 
schen den Betriebsarten "Normalbetrieb", der sich nach Been- 
digung der Startphase beim Ausbleiben einer Fehlermeldung 
einstellt, der Betriebsart "Startphase", die z.B. bis 2 um 
Ablauf einer vorgegebenen Zeitspanne, bis zum erstmaligem 
Erreichen einer Mindestgeschwindigkeit und/oder bis zum Ab- 
schluss von anfSnglichen PrUfroutinen gilt, der Betriebsart 
"Diagnose", der Betriebsart "Fremdsof tware", die bei einer 
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Aktuatorzugriffsanforderung durch ein Fremd- Oder Hilfssys- 
tem ausgelost wird, und der Betriebsart "Failsafe", die auf 
das Vorliegen einer Fehlermeldung hinweist, unterschieden . 

Weitere Merkmale, Vorteile und Anwendungsmoglichkeiten der 
Erfindung gehen aus der folgenden Beschreibung von Einzel- 
heiten eines Ausfuhrungsbeispiels anhand der beigefiigten 
Zeichnung hervor. Es zeigen 

Fig. 1 in schematischer Darstellung Funktionselemente eines 
elektronischen Ge saint regelungs systems zur Ausfuhrung 
des erfindungsgemafien Verfahrens und 

Fig. 2 ebenfalls in schematischer Darstellung einen Teil des 
Gesamtregelungssystems nach Fig. 1 zur Veranschauli- 
chung der Funktionsweise der Zugrif f sverwaltung. 

Das im folgenden als vereinf achtes Beispiel beschriebene Ge- 
samtregelungssystem ist fur ein Kraf tf ahrzeug mit einer kom- 
plexen Bremsanlage, wie einem elektrohydraulischen Bremsen- 
system (EHB) vorgesehen, das mit Systemen und Funktionen 
unterschiedlicher Art, wie Bremsassistent, Geschwindigkeits- 
oder Abstandregelungssystemen, Diagnosesystemen, Lenksyste- 
men (z.B. Uberlagerungslenkung) etc. zusammenarbeiten kann. 
Das Bremsensystem, einschlieJJlich der zugehorigen Regelungs- 
systeme und -funktionen ABS, ASR, ESP etc. wird als Basis- 
system betrachtet, die ubrigen Systeme Oder Funktionen als 
Fremd- Oder Hilf ssysteme . 



In Fig. 1 werden die Dienste, von denen Aktuator zugrif f san- 
forderungen ausgehen, die nach dem erf indungsgemaflen Verfah- 
ren "verwaltet", d.h. auf ihre Berechtigung gepruft werden, 
durch einen Funktionsblock 1 symbolisch dargestellt. In dem 
hier beschriebenen Ausfuhrungsbeispiel nach der Erfindung 
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handelt es sich, wie in 1 angedeutet, im wesentlichen urn die 
folgende Dienste: 

bezeichnet die Basisbremsfunktion, die z.B. bei Brake- 
By- Wire -Systemen (EHB; EMB) auch in Standardsituatio- 
nen elektronische Steuerung verlangt; 
ASR(TCS), ESP sind unter diesen Abkurzungen bekannte 
Regelungsf unktionen; 
bezeichnet Diagnosef unktionen; 

ist die Bezeichnung fOr ein Motorpumpenaggregat, vom 
dem ebenfalls Aktuatorzugrif f sanf orderungen ausgehen; 
symbolisiert Fremd- oder Hilf ssysteme (CSW = Customer 
Software) ; 

bezeichnet eine Schnittstelle, wie CAN-Bus, uber die 
u.a. auch Zugriff sanf orderungen von Zubehorf unktionen 
Oder von Fremdsystemen (CSW) geleitet werden; 
bezeichnet Lenksysteme, wie tiberl age rungs 1 enkungen . 

Zugriff sanf orderungen von Abstandsregelungssystemen (ACC) , 
Geschwindigkeitsregelungssystemen (Tempomat) etc. konnen e- 
benfalls uber den Systemdienst "BUS", iiber die Schnittstelle 
CSW oder uber einen weiteren Systemdienst mit eigener Iden- 
titat (ID) in das Gesamtregelungssystem integriert werden. 

Die von den Systemdiensten 1 ausgehenden Aktuatorzugrif fsan- 
forderungen werden in einer Rechteverwaltung 2 auf Zulassig- 
keit oder Berechtigung in der aktuellen Situation, d.h. in 
der momentanen Betriebsart (Gesamtbetriebsart) , uberpruft. 
Hierzu dient eine Ruckmeldung aus einer Betriebsartensteue- 
rung 3. 

Jeder Dienst wird durch seine ID eindeutig erkannt. Als Be- 
triebsarten, die unterschiedliche Reaktionen verlangen, sind 
beispielsweise die folgenden von Bedeutung: 



BBF 

ABS, 

DIAG 
MPA 

CSW 

BUS 

Lenk 
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"Normal-Betrieb" 1st z.B. nach langerer Be- 
triebszeit eines Kraft fahrzeugs ohne Fehler- 
meldung gegeben; 
gilt z.B. solange die einzelnen Systeme noch 
nicht voll in Funktion sind oder Routine- 
iiberprufungen noch nicht abgeschlossen sind; 
diese Betriebsart herrscht z.B. in der Werk- 
statt oder in der Startphase des KFZ wahrend 
des Ablaufs von Priif routinen; 
Fremdsoftware: diese Betriebsart wird z.B. 
eingestellt, wenn die ID des den Zugriff an- 
fordernden Systemdienstes erkennen lasst, 
dass die Anforderung nicht von einer Basis- 
funktion, sondern von einer Zubehor- bzw. 
Hilfsfunktion oder "Fremdfunktion" stammt; 
irn System wurde ein Fehler erkannt, der Be- 
triebseinschrankungen zur Folge hat. 

Die Regeln zur Beurteilung der "Berechtigung" in Abhangig- 
keit von dem identif izierten Systerndienst und von der aktu- 
ellen Betriebsart (Gesamtbetriebsart) sind fest vorgegeben. 
Die Regeln sind, wie Fig. 1 zeigt, in dem beschriebenen 
Ausfiihrungsbeispiel der Erfindung in einem Festwertspeicher 
3, z.B. tabellarisch, f estgehalten . 

Die Zugriffsanforderung des jeweiligen Systemdienstes 1 wird 
von der Rechteverwaltung 2 sofort abgelehnt oder ignoriert, 
wenn in der aktuellen Gesamtbetriebsart keine Berechtigung 
zu der Aktuatorzugrif f sanf orderung gegeben ist. Wenn die 
Anforderung in der aktuellen Betriebsart "berechtigt" ist, 
wird durch die Betriebsartensteuerung 4, falls erf orderlich, 
ein Wechsel der Betriebsart des Gesamtregelungssystems her- 
beigefuhrt. Die aktuelle Betriebsart wird einer Zugriffsver- 



Normal" 



"Start-Phase" 



"Diagnose" 



"CSW" 



"Failsafe" 
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waltung 6 gemeldet; auBerdem erfolgt eine Ruckmeldung an die 
Rechteverwaltung 2 . 

Die Aktuatorzugriffsanforderungen der einzelnen Systemdiens- 
te 1 werden uber die Signalwege SD1 bis SDn, gleichzeitig 
mit der Rechteuberpriifung in der Rechteverwaltung 2, iiber 
einen Zwiachenspeicher 5 der Zugrif f sverwaltung 6 zugefuhrt, 
die nach vorgegebenen Regeln durch Arbitration gesteuert 
festlegt, welche Aktuatorzugriff sanforderung der System- 
dienste 1 in der aktuellen Betriebsart tatsachlich bis zu 
einen Aktuator 7 durchgelassen wird. Alle,anderen Anforde- 
rungen werden ignoriert oder wegen "fehlender Berechtigung" 
zurtlckgewiesen; die Akzeptanz und/oder die "Ablehnung" der 
Anforderung wird den Systemdiensten 1 zuriickgemeldet. 

Wie Fig. 2 veranschaulicht, werden in dem Zwischenspeicher 5 
die Aktuatorzugriffsanforderungen nach Arbitrationsarten, 
d.h. nach Signalen gleicher physikalischer Einheit (hier: 
Druck »p", Strom "I" oder EIN/AUS-Signal "E/A") , sortiert 
und zur Zugrif f sverwaltung weitergeleitet . 

In der Zugrif f sverwaltung 6 werden in einem ersten Schritt 
die in der aktuellen Gesamtbetriebart "nicht berechtigten" 
Anforderungen zurtlckgewiesen oder eliminiert. Sodann findet 
eine zweistufige Arbitration der verbliebenen Aktuator- 
zugriffsanforderungen statt. In einer ersten Stufe, symboli- 
siert durch einen Block 8 in Fig. 2, werden die "berechtig- 
ten" Anforderungen nach vorgegebener Rangfolge oder Priori- 
tatsrang der einzelnen Arbitrationsarten bewertet; dies wird 
als "vertikale" Arbitration bezeichnet. 

Anschlieflend wird in einem zweiten Schritt oder einer zwei- 
ten Stufe 9 durch "horizontale" Arbitration eine Bewertung 
der verbleibenden Anforderungen gleicher Arbitrationsart ge- 
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troffen und festgelegt, welche der Aktuatorzugrif f sanforde- 
rungen tatsachlich bis zu dem Aktuator 7 durchgelassen wlrd. 
Symbolisiert durch einen Umschalter 10 wird das Ausgangssig- 
nal der Stufe 9 - je nach Arbitrationsart, d.h. hier "Druck", 
"Strom" oder "E IN /AUS"-Signal - direkt oder nach Weiterver- 
arbeitung in einem Druckregler 11 und/oder in einem Strom- 
regler 12 zu dem Aktuator 6 weitergeleitet . 9 

In dem hier beschriebenen Ausfuhrungsbeispiel der Erfindung 
ist der Aktuator 7 eine Spule, z.B. die Ventilspule eines 
Bremsdrucksteuerventils. Ein Befehl oder Signal der Einheit 
oder Dimension "EXN/AUS" fiihrt unmittelbar zur Reaktion des 
Ventils. Dem "EIN/AUS" -Signal wird daher 1m Sinne der hori- 
zontalen Arbitration die "hochste" Prioritat eingeraumt. 
Ein Signal der Einheit oder Dimension "Strom" muss dagegen 
zunachst in einem Stromregler 12 (siehe Fig. 2) ausgewertet 
und in einen "EIN/AOS"-Befehl umgewandelt werden. Eine 
Druckanderungsanforderung, also ein Signal der Dimension 
"Druck", muss zunachst in einem Druckregler 11 in eine 
Stromanderungsanforderung und danach mit Hilfe des Stromreg- 
lers 12 in ein Aktuatorbetatigungssignal bzw. in ein 
"EI N /AUS"-Signal gewandelt werden. Ein Signals der Dimension 
"Strom" geniefit daher im vorliegenden Ausfuhrungsbeispiel 
eine hohere Prioritat als ein Signal der Dimension "Druck". 
Bei konkurrierenden Signalen der Dimension "Druck", "Strom" 
und "EIN/AUS" gelangt das E/A-Signal zur Ausfuhrung; fehlt 
ein E/A-Signal, wird das Strom-Signal vorgezogen. 

Die Zugriffsverwaltung 6 selektiert die Aktuatorzugrif fsan- 
forderungen nach vorgegebenen Regeln in Abhangigkeit von der 
aktuellen Betriebsart. Beispielsweise sind in der Betriebs- 
art "Normal" nur Druck-Sollwertanforderungen "rechtmafiig" 
und werden ausgewertet; andere Anforderungen werden von der 
Zugriffsverwaltung 6 zurOckgewiesen oder ignoriert. In der 
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Betriebsart "Fremdsof tware" (CSW) sind nur Stellbefehle bzw. 
Aktuatorzugriffsanforderungen in Form von Drucksignalen er- 
laubt. In der Betriebsart "Diagnose" sind Stellbefehle in 
Form von Stromsignalen oder Ventil-Schaltbefehlen, nicht je- 
doch von Drucksignalen zulassig. In der Betriebsart "Failsa- 
fe" sind nur Aktuatoranforderungen, die von dem Kernsystem 
ausgehen, zu dem vor allem die sicherheitskritischen System- 
dienste gehoren, nicht jedoch Aktuatoranforderungen von Zu- 
behorsystemen, Hilf ssystemen oder Fremdsystemen (CSW) 
"rechtmafiig". 

Dies sind nur relativ einfache Beispiele. Eine Vielzahl wei- 
terer Vorgaben lasst sich mit Hilfe der Zugrif f sverwaltung 6 
in Verbindung mit der Rechteverwaltung 2 (3) realisieren. 
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Patentanspruche : 

1. Verfahren zuni Vermeiden von fehlerhaften Aktuator- 

zugriffen in einem multifunktionalen elektronischen Ge- 
samtregelungssystem, bei dem die Aktuatorzugrif fsanfor- 
derungen von verschiedenen oder verschiedenartigen Sys- 
temdiensten (1) ausgehen, dadurch gekennzeichnet, dass 
in das System eine Rechteverwaltung (2), die bei einer 
Aktuatorzugriffsanforderung die Berechtigung des Sys- 
temdienstes (1) zur Anderung der momentanen Betriebsart 
des Gesamtregelungssystems feststellt, eine Betriebsar- 
tensteuerung (4) und eine Zugrif f sverwaltung (6) einge- 
fugt werden, dass die Rechteverwaltung (2) bei einer 
Zugriffsanforderung durch einen Systemdienst (1) unter 
Berucksichtigung der momentanen Gesamtbetriebsart des 
Gesamtregelungssystems eine Einstellung oder einen 
Wechsel der Betriebsart nach vorgegebenen Regeln her- 
beifiihrt und die aktuelle Betriebsart der Zugrif fsver- 
waltung (6) meldet, und dass die Zugrif f sverwaltung (6) 
in Abhangigkeit von der gemeldeten Gesamtbetriebsart 
eine Aktuatorbetatigung nur durch den "berechtigten" 
Systemdienst (1) zulasst und die Aktuatorzugrif f sanf or- 
derungen der Systemdienste (1) nach vorgegebenen 
Arbitrationsregeln verarbeitet. 

Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass 
die Aktuator zugrif f anf orderungen der Systemdienste (1) 
in einem Speicher (5) erfasst und nach Arbitrationsar- 
ten sortiert zur Zugrif f sverwaltung (6) weitergeleitet 
we r den. 

L Verfahren nach Anspruch 1 oder 2, dadurch gekennzeich- 
net, dass die zu einem Aktuator (7) durchgelassene, von 
einem Systemdienst (1) ausgehende Aktuatorzugrif fsan- 
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4. 



5. 



6. 



forderung durch zweistufige Arbitration, namlich durch 
eine "vertikale" und eine "horizontale" Arbitration, 
bestimmt wird. 

Verfahren nach einem oder mehreren der Anspruche 1 bis 
3 2, dadurch gekennzeichnet, dass in der Zugriffsver- 
waltung (6) in einem ersten Schritt die nicht berech- 
tigten. Zugriff sanforderungen in Abhangigkeit von der 
gemeldeten, aktuellen Gesamtbetriebsart ermittelt, eli- 
miniert oder zurUckgewiesen werden, dass in einem zwei- 
ten Schritt durch vertikale Arbitration eine Bewertung 
und Auswahl der berechtigten Zugriff sanforderungen nach 
vorgegebener Rangfolge der Arbitrationsarten durchge- 
fuhrt wird, wobei einem "Stromsignal" hohere Prioritat 
als einem "Drucksignal" und einem "EIN/AUS-Signal" h6- 
here Prioritat als einem "Stromsignal" zugemessen wird, 
und dass in einem dritten Schritt durch horizontale 
Arbitration eine Bewertung und Auswahl der in dem 
zweiten Schritt ermittelten Zugriff sanforderungen nach 
Prioritat des Signals fur die Ansteuerung des Aktuators 
(7) erfolgt. 

Verfahren nach einem oder mehreren der Anspruche 1 bis 

4, dadurch gekennzeichnet, dass die Rechte der Be- 
triebsdienste (1) 2U r Anderung der Betriebsart in einem 
Festwertspeicher (3), auf den die Rechteverwaltung (2) 
Zugriff hat, festgehalten werden. 

Verfahren nach einem oder mehreren der Anspruche 1 bis 

5, dadurch gekennzeichnet, dass bei einem Gesamtrege- 
lungssystem fiir Kraf tf ahrzeuge, das als Basissystem ei- 
ne Bremsanlage (EHB, EMB) enthalt, als Systemdienste (1) , 
von denen die Aktuatorzugrif f sanforderungen ausgehen, 
die Basisbremsfunktionen (BBF) , Radschlupf regelungs- 
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funktionen (wie ABS, ASR(TCS) ,ESP) , Diagnosef unktionen 
(Diag) , Motorpumpenregelungensysterae (MPA) und 
Schnittstellen (BUS) erfasst und durch die 
Rechteverwaltung (2) in Verbindung mit der 
Zugriffsverwaltung (5) kontrolliert werden. 

Verfahren nach einem oder mehreren der Anspriiche 1 bis 

6, dadurch gekennzeichnet, dass weitere Systemdienste 
(1), wie "Fremdsoftware" (CWS) , "Lenkungsfunktionen" 
(Lenk), etc. in das Gesamtsystem integriert werden. 

Verfahren nach einem oder mehreren der Anspriiche 1 bis 

7, dadurch gekennzeichnet, dass bei einem Gesamt- 
regelungs system fur Kraf tf ahrzeuge in der Betriebar- 
tensteuerung (3) zumindest zwischen den Betriebsarten 
"Normalbetrieb", der sich nach Beendigung der Startpha- 
se beim Ausbleiben einer Fehlermeldung einstellt, der 
Betriebsart "Startphase" , die z.B. bis zum Ablauf einer 
vorgegebenen Zeitspanne, bis zum erstmaligera Erreichen 
einer Mindestgeschwindigkeit und/oder bis zum Abschluss 
von anfanglichen Prufroutinen gilt, der Betriebsart 
"Diagnose", der Betriebsart "Fremdsoftware", die bei 
einer Aktuatorzugrif f sanf orderung durch ein Frerad- oder 
Hilfssystem ausgelost wird, und der Betriebsart "Fail- 
safe", die auf das Vorliegen einer Fehlermeldung hin- 
weist, unterschieden wird. 
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